2023年11月1日
android ebpf之uprobe原理和检测方法
摘要: uprobe在内核层对用户层进程目标地址的原始指令进行copy之后,写入指定类型中断指令,并且内核中设置对应的中断处理程序。中断处理程序会先去执行uprobe设置的回调过滤函数,然后通过单步异常执行copy的原指令,最后将单步异常返回地址修改为中断指令的返回继续执行剩余指令。ida查看被uprobe 阅读全文
posted @ 2023-11-01 20:47 怎么可以吃突突 阅读(599) 评论(0) 推荐(0) 编辑